Vulnerabilidad en Metasys de Johnson Controls Inc.

Fecha de publicación:

06/04/2022

Importancia:

4 - Alta

Recursos afectados:

Metasys ADS/ADX/OAS, versiones 10 y 11.

Descripción:

Tony West ha reportado esta vulnerabilidad de severidad alta a Johnson Controls Inc., publicada por el CISA, que podría permitir a un atacante, autenticado, inyectar código malicioso en la funcionalidad MUI PDF export.

Solución:

Actualizar Metasys ADS/ADX/OAS:
- versión 10 a la versión 10.1.5;
- versión 11 a la versión 11.0.2.

Detalle:

Un atacante autenticado podría inyectar código malicioso en la función de exportación de PDF de MUI (MUI PDF export), lo que podría dar lugar a la falsificación de solicitudes del lado del servidor (ataque server-side request forgery). Se ha asignado el identificador CVE-2021-36202 para esta vulnerabilidad.

Referencias:

ICS Advisory (ICSA-22-095-02) Johnson Controls Metasys

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad en Metasys de Johnson Controls Inc.

Múltiples vulnerabilidades en dispositivos inalámbricos OneWireless de Honeywell

Vulnerabilidad de autorización indebida en productos de AVEVA

Múltiples vulnerabilidades en Autodesk FBX SDK

Vulnerabilidad de inyección de código en productos de GE Digital

Vulnerabilidad de control de acceso en PLC CJ1M de Omron